Практика безопасности в социальных сетях для защиты личных и корпоративных данных

Когда дело доходит до безопасности социальных сетей, пользователи часто не знают о последствиях своих постов в Интернете. Многие не осознают, что могут подвергать риску свои персональные данные и, как следствие, данные своей компании. Хотя вы можете не иметь дело напрямую со своими клиентами, вы находитесь всего в одном шаге от своих клиентов по некоторым социальным каналам, и многие организации потратили много времени, денег и усилий для создания лояльности к бренду через эти каналы.

Социальные сети должны быть веселыми. Мы не должны быть настолько осторожными в отношении того, что мы делаем и говорим в Интернете, но киберпреступники никуда не денутся, а социальные медиа предоставляют естественные возможности для плохих актеров получить то, что они хотят.

«Я думал, что это было безопасно опубликовать»

Во многих случаях часто встречаются ошибки в социальных сетях, о которых сотрудники даже не подозревают. Например, что если вы сделаете селфи команды в зале заседаний в конце стратегической встречи и на доске появится информация от проектора? Патрик МакБрайд, директор по маркетингу ZeroFox, обладает более чем двадцатилетним опытом работы в области кибербезопасности и слышал множество кошмарных историй о постах в социальных сетях, которые были ошибочными.

«С этими постами вы можете непреднамеренно раздавать конфиденциальные планы, финансовую информацию или другую интеллектуальную собственность», - сказал он. «Подобные вещи случаются постоянно». Любая информация, традиционно считающаяся информацией, позволяющей установить личность (PII), полезна для монетизации плохих парней, предупредил Макбрайд.

«Такие вещи, как ваш номер социального страхования, ваш возраст, где вы выросли, девичья фамилия вашей матери и дата рождения должны быть конфиденциальными», - отметил он. «Многие люди помещают даты рождения в социальные платформы, потому что им нравится получать сообщение « С днем рождения »».

Вооружившись этой информацией, хакеры могут увеличить свои шансы на успешное восстановление пароля. Кроме того, PII только дает злоумышленникам больше боеприпасов для запуска атак социальной инженерии.

Что безопасно отправлять?

Согласно МакБрайду, все, что находится за пределами PII, должно быть относительно безопасным. Вообще говоря, чем меньше вы рассказываете о себе или своей компании, тем лучше. Тем не менее, это может быть не столько о содержании, сколько о том, кто его видит. Именно здесь настройки конфиденциальности в социальных сетях могут иметь существенное значение.

«Некоторые социальные платформы стали лучше объединять вещи в одном месте», - сказал Макбрайд. «Платформы упрощают блокировку контента, но большинство настроек открыты по умолчанию». МакБрайд также предложил обеспечить максимально возможную строгость настроек конфиденциальности и проводить их аудит как минимум ежегодно.

Советы и рекомендации по безопасным социальным сетям

По словам независимого исследователя безопасности Рода Сото, безопасность в социальных сетях означает показ, не показывая слишком много. «Прежде всего, вы хотите защитить как можно больше конфиденциальной информации».

Сото предложил семь рекомендаций для тех, кто хочет участвовать в социальных сетях и одновременно снизить риски Интернета. Некоторые из них могут показаться слишком строгими, но я должен согласиться с ним здесь – я видел, что сообщения сотрудников в социальных сетях наносят непоправимый вред как человеку, так и компании слишком много раз.

Первый совет не может быть подчеркнуто достаточно:

• Подумайте, прежде чем отправлять. Сообщение остается в Интернете навсегда, даже если вы удалите его. Мало того, что это останется публичным, но у тех, кто видит это в будущем, может не быть контекста, необходимого, чтобы понять это.
• Не используйте свое настоящее имя. Используйте псевдоним или другое прозвище, которое не выдаст вашу личность.
• Не объявляйте и не раскрывайте свое местоположение, когда вы находитесь вдали от дома. Помните о фонах, людях и достопримечательностях, которые могут раскрыть слишком много информации – если, конечно, вы не хотите их показывать.
• По возможности настраивайте параметры конфиденциальности в зависимости от того, кому вы хотите видеть свои сообщения. Во многих случаях социальные сети помогают общаться и делиться особыми моментами с друзьями, семьей и знакомыми. Ориентируйтесь на ваши сообщения. Подумайте о том, чтобы иметь одну учетную запись для общения только с людьми, которым вы доверяете, а другую – для знакомств и широкой публики.
• Защитите свои учетные записи, используя многофакторную аутентификацию (MFA), не повторяя пароли и не перерабатывая ваши вопросы безопасности и ответы.
• Не размещайте репосты, не делайте ретвитов и не делитесь ими без тщательного изучения или проверки. Многие мемы и фрагменты вирусного содержания неточны или преувеличены. Ссылки, файлы, игры или приложения, отправленные вам кем–либо (включая вашу семью), могут поставить под угрозу ваши системы. Помните, что отправитель уже может быть скомпрометирован.
• Свобода выражения имеет последствия. Работодателям, организациям, людям или даже друзьям может не понравиться то, что вы публикуете.

Лучшие корпоративные практики для безопасности социальных сетей

Многие из лучших практик и политик, которые помогают организациям повысить уровень осведомленности о безопасности социальных сетей в своей рабочей силе, начинаются с вершины и идут вверх и вниз по корпоративной иерархии.

«Для организаций очень важно четко заявить и пропагандировать осведомленность о безопасности своих сотрудников, и это включает использование социальных сетей в корпоративных мероприятиях», – отметил Сото. «Часто сотрудники сами раскрывают конфиденциальную корпоративную информацию, непреднамеренно раскрывая ее в своих личных социальных сетях. Обычно это дает преступникам достаточно информации для нацеливания на сотрудников и руководителей».

Сото рекомендует, чтобы учетные записи корпоративных социальных сетей считались активами в политиках информационной безопасности. Таким образом, политика безопасных социальных сетей должна осуществляться и соблюдаться. Кроме того, корпоративные учетные записи также должны отслеживаться на наличие угроз.

МакБрайд поддержал это мнение и добавил, что в идеале лучшие практики обеспечения безопасности в социальных сетях должны в идеале быть включены в стандартное обучение безопасности, проводимое ИТ-отделом или командой безопасности организации: «Сосредоточение внимания на том, как определять тактику социальной инженерии, выдавать себя за учетные записи, мошенничество и мошеннические сообщения, а также а также как улучшить настройки безопасности учетной записи, чтобы предотвратить взлом учетной записи, поможет сотрудникам оставаться в безопасности в социальных сетях и защищать как личные, так и корпоративные социальные учетные записи».

Отстранение сотрудников от социальных сетей – это все равно что пытаться уберечь пчелу от мёда: если вы полностью запретите общение, вас, вероятно, будут ужалить. Необходимо установить золотую середину, и лучшее решение - включить всех в процесс, а не ограничивать их поведение в Интернете. Когда вы разрабатываете свою политику и практику в отношении социальных сетей, помните, что люди хорошо реагируют, когда чувствуют себя уполномоченными и вовлеченными.